Jump to content


Sql Injection?

Started By Dionatan , 10/06/2003, 08:41

  • Faça o login para participar
11 replies to this topic

#1 Dionatan

Dionatan
  • Visitantes

Posted 10/06/2003, 08:41

Galera!
Andei sabendo que tem um jeito muito facil pra burlar estes sistemas de usuarios e senhas, atraves de comandos SQL, chamado SQLInjection! <_<

Eu gostaria que alguem me explicasse o que eh +/- :light: e principalmente como se proteger disso!!!

Grato!!!

Dionatan Boeger

#2 Arley

Arley

    12 Horas

  • Usuários
  • 188 posts
  • Sexo:Não informado
  • Localidade:Brasilia
  • Interesses:ASP &lt;br&gt;banco de dados

Posted 10/06/2003, 08:47

Cara a forma que eu conheço de burla sistemas assim é vc digitando comandos sql entre aspas simples nos campos de texto.

Mas isso é regra básica para qualquer developer: Tratar as aspas simples.

vc pode fazer assim:

replace(request.form("nome")," ' " , " '' " )

Substituir 1 aspas simples por duas.

Não sei se isso que vc falow é isso! mas também deve atentar para esse caso

Falows
ok ok!
Sem Imagens!

#3 ESPIA

ESPIA

    Eu mesmo!

  • Usuários
  • 157 posts
  • Sexo:Não informado
  • Localidade:Curitiba/PR
  • Interesses:Processos de Engenharia e Qualidade de Software, mais especificamente Gerência de Projetos, requisitos e regras de Negócios, Técnicas de Análise (AE, OO), Projeto, Codificação (qualquer ferramenta), SGBDR e WEB development.

Posted 10/06/2003, 08:53

Não concordo com o conceito, mas a título de curiosidade e conhecimento, dêem uma olhada nos links abaixo:

DevMasters

PHPBrasil

LinuxSecurity

News (invasão no Ministério da Justiça)

...
BB 20 4D 65 75 20 69 6E 74 65 72 65 73 73 65 20 61 71 75 69 20 E9 20 70 61 72 74 69 63 69 70 61 72 2C 20 64 65 20 66 6F 72 6D 61 20 70 6F 73 69 74 69 76 61 20 65 20 70 72 6F 64 75 74 69 76 61 2C 20 64 65 20 74 6F 64 61 73 20 61 73 20 64 69 73 63 75 73 73 F5 65 73 20 72 65 6C 61 63 69 6F 6E 61 64 61 73 20 61 20 48 61 72 64 77 61 72 65 2C 20 53 6F 66 74 77 61 72 65 20 65 20 57 65 62 20 44 65 76 65 6C 6F 70 6D 65 6E 74 2C 20 61 6C E9 6D 20 64 6F 20 70 72 F3 70 72 69 6F 20 72 65 6C 61 63 69 6F 6E 61 6D 65 6E 74 6F 20 65 20 64 65 73 65 6E 76 6F 6C 76 69 6D 65 6E 74 6F 20 68 75 6D 61 6E 6F 2C 20 65 6E 71 75 61 6E 74 6F 20 FA 74 69 6C 20 65 20 61 67 72 61 64 E1 76 65 6C 2E

» Deixe tudo um pouco melhor do que era antes de você chegar!

#4 Guest

Guest
  • Visitantes

Posted 10/06/2003, 09:01

Cara a forma que eu conheço de burla sistemas assim é vc digitando comandos sql entre aspas simples nos campos de texto.

Mas isso é regra básica para qualquer developer: Tratar as aspas simples.

vc pode fazer assim:

replace(request.form("nome")," ' " , " '' " )

Substituir 1 aspas simples por duas.

Não sei se isso que vc falow é isso! mas também deve atentar para esse caso

Falows

ESPIA.
Valeu cara.. Soh quero que me ajude uma coisa!

Sou iniciante em asp!
Eu guardo em uma variavel o valor do usuario e em outro o valor da senha!
fazendo assim: variavel = request.form("nome")
Como eu faria de forma que vc me explicou? :light:
variavel = replace(request.form("nome")," ' " , " '' " )

Eh isso?

Valeu cara! :ok:

Dionatan Boeger

#5 ESPIA

ESPIA

    Eu mesmo!

  • Usuários
  • 157 posts
  • Sexo:Não informado
  • Localidade:Curitiba/PR
  • Interesses:Processos de Engenharia e Qualidade de Software, mais especificamente Gerência de Projetos, requisitos e regras de Negócios, Técnicas de Análise (AE, OO), Projeto, Codificação (qualquer ferramenta), SGBDR e WEB development.

Posted 10/06/2003, 09:27

Ae, Arley.

Quem postou a resposta com REPLACE foi o Arley. Mas isso só muda aspas simples por duplas... Mais nada.

O q é q vc precisa exatamente? "Esconder" seu USR e PWD? Por favor, explique melhor...
BB 20 4D 65 75 20 69 6E 74 65 72 65 73 73 65 20 61 71 75 69 20 E9 20 70 61 72 74 69 63 69 70 61 72 2C 20 64 65 20 66 6F 72 6D 61 20 70 6F 73 69 74 69 76 61 20 65 20 70 72 6F 64 75 74 69 76 61 2C 20 64 65 20 74 6F 64 61 73 20 61 73 20 64 69 73 63 75 73 73 F5 65 73 20 72 65 6C 61 63 69 6F 6E 61 64 61 73 20 61 20 48 61 72 64 77 61 72 65 2C 20 53 6F 66 74 77 61 72 65 20 65 20 57 65 62 20 44 65 76 65 6C 6F 70 6D 65 6E 74 2C 20 61 6C E9 6D 20 64 6F 20 70 72 F3 70 72 69 6F 20 72 65 6C 61 63 69 6F 6E 61 6D 65 6E 74 6F 20 65 20 64 65 73 65 6E 76 6F 6C 76 69 6D 65 6E 74 6F 20 68 75 6D 61 6E 6F 2C 20 65 6E 71 75 61 6E 74 6F 20 FA 74 69 6C 20 65 20 61 67 72 61 64 E1 76 65 6C 2E

» Deixe tudo um pouco melhor do que era antes de você chegar!

#6 -Dionatan-

-Dionatan-
  • Visitantes

Posted 10/06/2003, 09:31

Cara a forma que eu conheço de burla sistemas assim é vc digitando comandos sql entre aspas simples nos campos de texto.

Mas isso é regra básica para qualquer developer: Tratar as aspas simples.

vc pode fazer assim:

replace(request.form("nome")," ' " , " '' " )

Substituir 1 aspas simples por duas.

Não sei se isso que vc falow é isso! mas também deve atentar para esse caso

Falows

Ae Arley
Valeu cara.. Soh quero que me ajude uma coisa!

Sou iniciante em asp!
Eu guardo em uma variavel o valor do usuario e em outro o valor da senha!
fazendo assim: variavel = request.form("nome")
Como eu faria de forma que vc me explicou?
variavel = replace(request.form("nome")," ' " , " '' " )

Eh isso?

Valeu cara!

Dionatan Boeger

#7 -Dionatan-

-Dionatan-
  • Visitantes

Posted 10/06/2003, 09:35

Ae, Arley.

Quem postou a resposta com REPLACE foi o Arley. Mas isso só muda aspas simples por duplas... Mais nada.

O q é q vc precisa exatamente? "Esconder" seu USR e PWD? Por favor, explique melhor...

Ola SPIA.
desculpe a msg errada!!!

Tipow.. o que eu preciso exatemente eh proteger meu sisteminha onde um admin loga com usuario e senha, do famoso SQL INJECTION..
Segundo o Arley, este tipo de coisa, acontece se alguem digitar usando aspas 'simples' comandos sql!!!!

Eu gostaria de proteger meu script, pra que nao ocorra isso!!!

Como faco????

#8 Leandro

Leandro
  • Visitantes

Posted 10/06/2003, 10:10

O Arley já respondeu bicho...
<%
replace(request.form("nome")," ' " , " '' " )
%>

#9 -Dionatan-

-Dionatan-
  • Visitantes

Posted 10/06/2003, 10:22

O Arley já respondeu bicho...
<%
replace(request.form("nome")," ' " , " '' " )
%>

Blz Leandro!

Eu vi que ele disse, mas como sou iniciante eu gostaria de saber como usar isso!!!!!!
Posso fazer assim:?
<%
variavel = replace(request.form("nome")," ' " , " '' " )
?
%>

#10 Leandro

Leandro
  • Visitantes

Posted 10/06/2003, 10:31

pode sim, uma variavel recebendo um valor :)

#11 Xandão Grunge

Xandão Grunge

    12 Horas

  • Usuários
  • 158 posts
  • Sexo:Não informado
  • Localidade:Chavantes

Posted 29/10/2003, 15:09

Olá pessoal, eu fiquei sabendo que é possível a realização do SQL injetion pela barra de endereços do navegagor. Alguém poderia me explicar melhor como é realizado esse procedimento nessa condição, e qual a solução que deveria para previnir o SQL injetion pela barra de endereços do navegagor.

Desde já agradeço,
Xandão Grunge B)

#12 cybermix

cybermix

    andrewsmedina.com.br

  • Ex-Admins
  • 3586 posts
  • Sexo:Não informado
  • Localidade:Não sou desse planeta não!!!!
  • Interesses:python, fireworks, linux, php, flash...

Posted 29/10/2003, 16:18

da uma lida aqui

http://www.asp4devel...do=ver&id=l0115
www.andrewsmedina.com.br
Voltar para ASP


1 user(s) are reading this topic

0 membro(s), 1 visitante(s) e 0 membros anônimo(s)

  1. Fórum WMO
  2. Desenvolvimento
  3. ASP
  4. Privacy Policy
  5. Regras ·
IPB Skin By Virteq